内控与操作风险整合体系的建设方法(德勤)

PrimarycolorsR0G33B118R0G161B222R60G138B46R114G199B231R201G221B3R146G212B02010年9月25日中信银行操作风险管理咨询项目把握重点、成功实践©2009DeloitteToucheTohmatsu内控与操作风险整合体系的建设目的重点工作开展思路与资源配备要求项目预期效益及关键成功要素大纲1©2009DeloitteToucheTohmatsu现行与操作风险管理相关的制度及工作•内控梳理及控制手册制定•定期的培训•内控评价、缺陷评价及整改要求•业务外包管理•反洗钱管理•绩效考核制度•………..为何现在还要谈建立操作风险体系?2面对操作风险，我们已经有相关的应对措施©2009DeloitteToucheTohmatsu想象我们开着高级跑车上路3例如：防盗系统、驾驶员仪表盘、倒车雷达、安全气囊、防爆玻璃…开车上路所面对的固有风险•误撞前车•后车追尾•撞上路人•违规被罚开车上路的过程中，驾驶员面对很多的风险，最后可能导致身体或财务上的损伤。•轮胎打滑•电瓶故障•汽车被盗•…..应对风险所配备的装置高级跑车上，原本就配备了许多安控设施(控制措施)©2009DeloitteToucheTohmatsu我们现在要建立的操作风险管理工具体系，就像是架设在高级跑车上的智能型电脑4具备不断自我监控、诊断并且自我完善的功能，确保开车的风险能控制在自己可以容忍的范围之内。©2009DeloitteToucheTohmatsu5前置工作：流程分析/内控梳理(操作风险与控制识别)风险与控制自评(RCSA)关键风险指标(KRI)损失数据收集(LDC)后续工作：改善方案制定与执行操作风险管理体系三大工具•规律的侦测车况、驾驶员状况以及经常行走的道路的路况。动态识别驾车的各种风险，以及目前有的控制措施。•依据上述侦测结果，进行风险暴露评估与控制有效性评估。•设定预警指标并持续监控•收集事故数据并分析原因•协助驾驶员规划及执行改善方案例如：驾驶员抢灯的次数、油料不足灯亮起却迟迟不加油的次数例如：酒后驾车被罚款、撞车例如：酒后不开车、开车不打电话等智能型电脑的五大功能操作风险管理三大工具的概念©2009DeloitteToucheTohmatsu66流程分析/内控梳理(风险与控制识别)RCSA-风险与控制自我评估KRI-关键风险指标设计与监控LDC-损失数据收集操作风险管理举例•客户经理的培训时数•理财客户投诉次数•赔偿理财客户固有风险1：与理财客户有重大纠纷控制1：针对客户经理设计培训课程并定期进行培训控制2：配备录音设备，提示客户在销售过程中将进行录音备案控制3：理财产品购买的先决条件，需以书面方式请客户确认理财业务操作风险管理三大工具的概念–续©2009DeloitteToucheTohmatsu7操作风险管理体系的特色与可解决的问题以既有的内控手段进行操作风险管理，无法完全满足新资本协议对操作风险管理的要求。在引入操作风险管理体系后，下列原本无法回答的问题，将可迎刃而解。1.银行通过内部控制制度管理及监控所面对的风险时，如何知悉或确保控制措施是否已足够或有效？2.银行实际面对的操作风险暴露有多高?目前是不是已经将操作风险暴露控制在可以承受的范围内?3.操作风险暴露在银行内的分布状况?操作风险暴露高的风险，主要分布在哪些业务条线或网点?4.如果单位或网点的操作风险暴露相对较高，是什么样的原因造成的？5.操作风险无处不在，用检查的方法找出问题点来进行整改的这种模式，覆盖的范围是不是不够全面?原本的内部控制制度操作风险管理体系的主要特色•是一套科学的管理体系，它将操作风险管理转变为系统化、架构化、并可不断良性循环的管理体系；同时，将操作风险转变为可量化、具可比性、且可与容忍度相互匹配的工具。•将操作风险管理由被动式的管理转变为积极主动式的管理，并强调风险发生单位的常规性自我诊断与自我完善。•通过三大工具实践操作风险的识别、评估、监测、控制与缓释。•落地到银行所有的单位与网点。•操作风险管理状况与资本计量紧密衔接(高级法阶段)。嵌入的操作风险管理体系©2009DeloitteToucheTohmatsu架构化与科学化的操作风险管理方式：示例8板块业务A分行B分行C分行D分行E分行F分行…公司版块公司授信公司理财资产保全会计板块会计国际板块国际业务待完成科学化与架构化的操作风险管理体系后，银行将可通过三大工具的实施，实时了解银行的操作风险暴露状况(风险轮廓)。注：操作风险管理三大工具(1)损失数据收集(LDC;lossdatacollection),(2)操作风险与控制自我评估(RCSA;riskandcontrolself-assessment),(3)关键风险指标(KRI;keyriskindicator)注：以上信号灯的显示依据本行操作风险偏好与容忍度所设定不能容忍警戒加强监控安全分行及中心的业务板块操作风险暴露©2009DeloitteToucheTohmatsu类别主流程操作风险事件类型财务会计/会计结算制度或相关操作违反法规内部人员窃取/抢劫现金与贵金属内部人员窃取有价证券/单证/卡片/钥匙/印章…内部人员伪冒申请业务或服务内部人员协助或未阻止洗钱活动…存款单位活期存款单位帐户管理个人存款…出纳…金库管理现金出纳…架构化与科学化的操作风险管理方式：示例-续9A分行内所面对的固有操作风险类型业务流程本类风险事件相关的RCSA、KRI及损失数据除了总体性的监控外，银行亦可探究造成风险暴露高的原因。以本例而言，A分行所面对的众多操作风险中，内部人员伪冒申请业务或服务的风险暴露为较高的项目。虽然无相关的损失事件发生，但依据RCSA的评估结果，本项风险的风险暴露落于警戒区域且关键风险指标值也已置于不能容忍的范围。会计条线内查核缺失数风险事件综合说明风险因子类型风险事件类型控制类型控制措施内容控制有效性评估结果剩余风险评估结果由于个人道德的问题或不当培训制度，在单位活期支取、存款冻结等业务处理中，内部人员伪冒申请业务或服务，造成客户、银行资金受损，须向客户支付赔偿。不当的道德概念（员工个人不当的道德问题）内部人员伪冒申请业务或服务交易/业务的检查会计部门须定期对存款冻结/冻结存款处理/存款解冻业务资料进行检查。不当的培训制度交易/业务执行过程中的复核存款冻结/存款冻结款项处理/存款解冻的相关资料由经办员初步审核，再由业务主管复核，之后经办员才能进行后续冻结操作。业务/交易的权限管控账户的冻结/账户扣划、查询、变更冻结金额/账户的解冻须得到会计主管的强制授权，并经会计主管盖章确认。©2009DeloitteToucheTohmatsu架构化与科学化的操作风险管理方式：示例-续10在宏观管理方面，除了风险暴露监控外，银行业务管理单位亦可据此分析辖下单位普遍较弱的控制点。以本例而言，A分行可监控辖下支行各项控制措施的落实程度，并知悉哪几种类型的控制是应该全面加强执行力度。A分行各支行的控制落实度自评结果(依据RCSA)应特别关注的网点应特别加强执行力度的控制措施©2009DeloitteToucheTohmatsu11一套整合性的体系实现双达标的目的风险地图边界设置(容忍度设置)评估表单生成与确认运营环境风险暴露评估控制有效性评估关键因素与关键控制识别与筛选关键风险指标设计损失事件识别数据收集与监控通报与处理内控梳理风险与控制自我评估(RCSA)关键风险指标(KRI)事件详细信息收集损失数据收集(LDC)提供参考提供基础我们将操作风险管理体系与内部控制体系整合成完整的单一体系，以一套管理流程实现不同的管理目的。自我诊断与完善预警信息监控与应对事件收集与整改内控评价风险监测整改与优化风险监测与应对流程环节外部法规内部制度固有风险关键控制评价及测试表单的生成与确认测试及评价©2009DeloitteToucheTohmatsu12内控与操作风险整合体系的建设目的重点工作开展思路与资源配备要求项目预期效益及关键成功要素大纲©2009DeloitteToucheTohmatsu子项目二：操作风险管理体系建设项目范围说明13子项目三：内控梳理、内控评价及三大工具的试点及全行推广子项目四：操作风险管理信息系统业务需求规划与开发配合C.操作风险与控制分类架构•操作风险字典库(4个维度)•控制字典库•流程架构(流程盘点表)•法规字典库•法规与流程、风险、控制关联性架构A.操作风险偏好及治理架构•操作风险偏好与容忍度体系•操作风险管理组织、岗位与职责B.操作风险管理制度•操作风险管理政策•操作风险三大工具管理办法•新产品与新业务评估管理办法•操作风险考核方案设计•操作风险常规性培训方案设计D.三大工具实施及风险地图设定方法论子项目一：全行内控梳理A.内控梳理优化方法论设计B.全流程内控梳理(全行标准版)C.内控梳理成果应用**内控梳理成果应用包括：设计内控台账、合规索引、违规基分管理以及进行审计手册控制点更新：©2009DeloitteToucheTohmatsu14以集中建立标准化模版再全面铺开的方式推进14在达标时间十分紧张的状况下，将采用集中建立标准模版再全面铺开的方式将三大工具落地到全行所有单位及网点。采用此种方式，一方面可以加快推进的速度，另一方面也较能确保全面铺开时散布在各地的工作能保质保量的进行。全行性标准模板A分行B分行…..A1支行A2支行…..…B1支行B2支行……………..…..…..…..•全行标准内控梳理模板•全行标准RCSA问卷•全行标准业务板块KRI列表•内控测试模板基于分行业务与管理特色，微调标准模版，生成分行使用的管理工具并同时制定相关准则•A分行内控梳理模板•A分行RCSA问卷•A分行业务板块KRI列表•A分行内控测试模板•……•……•…..支行/网点依循分行制定的标准，落实操作风险管理相关工作•B分行内控梳理模板•B分行RCSA问卷•B分行业务板块KRI列表•B分行内控测试模板©2009DeloitteToucheTohmatsu重点工作说明(与业务条线相关的工作)15标准模板建立阶段试点阶段(总行及试点分行)推广阶段(总行、分支行)双达标验收阶段•内控梳理模板•RCSA模板•内控测试模板•内控评价模板•模板本地化(分行)•三大工具实施•内控测试与评价•模板本地化(分行)•三大工具实施•内控测试与评价•内部培训团队养成•内部考核•达标文档准备•现场检查前准备2010年10月-2011年2月2010年11月-2011年4月2011年4月-2011年11月2011年6月-2011年12月工作阶段工作内容质量确保手把手执行资源投入要求过程中沟通机制成果审核本项目工作内容中，与业务条线相关的工作以及相应的质量确保机制为：©2009DeloitteToucheTohmatsu补充说明：标准模板建立及试点阶段的资源投入要求(银行端)16＃角色人员人数(业务版块)职责１总行业务条线项目负责人总行业务条线资深专家1人•牵头条线内所有相关工作(包括总行及分行)２总行业务条线专家总行条线部门业务骨干1-3人•作为核心人员，执行总行试点工作•协助本条线的分行试点与推广工作３分行业务条线项目负责人分行业务条线资深专家1人•牵头本分行条线内所有相关工作４分行业务条线专家分行条线部门业务骨干2-4人•作为核心人员，执行总行试点工作•作为核心人员，执行分行试点工作•协助本条线的支行试点与推广工作A分行B分行C分行D分行公司业务国际业务会计业务零售业务小企业业务…..模式：在试点分行中，选派部份业务专家至总行参与标准模板的建立等工作优点：(1)确保总行标准模板符合分行实际(2)提高总行模板的“标准度”(3)减轻总行业务专家投入项目的时间压力(4)总行试点期间，同时培养分行试点时的内部培训师业务条线参与项目的人员及职责在试点分行中选派专家参与总行标准模板的建立工作©2009DeloitteToucheTohmatsu17项目组与各业务流程负责人手把手完成相关工作(每位每两周平均完成2-3项主流程)